新機能 – Amazon GuardDuty を使った S3 バケットの保護

この記事でお知らせしたとおり、Amazon Macie で以前からご利用いただいていた Amazon Simple Storage Service (S3) アクティビティのための異常および脅威検知が Amazon GuardDuty の一部として強化され、コストも 80% 以上削減されました。これにより、GuardDuty の脅威検出の範囲がワークロードと AWS アカウントの枠を越えて拡大され、S3 に保存されるデータの保護にも役立つようになります。

この新しい機能は、通常とは異なる地理的場所から来るリクエスト、S3 ブロックパブリックアクセスなどの予防的な制御の無効化、または誤設定されたバケットアクセス許可を発見する試みと一致する API コールパターンなどの疑わしいアクティビティを検知するために、GuardDuty が S3 のデータアクセスイベント (通常データプレーンオペレーションと呼ばれます) と S3 設定 (コントロールプレーン API) のモニタリングとプロファイリングを継続的に行うことを可能にします。悪意があると思われる動作を検知するため、GuardDuty は異常検知、機械学習、および絶えず更新される脅威インテリジェンスの組み合わせを使用します。ご参考までに、GuardDuty S3 脅威検知の完全なリストをご覧ください。

脅威が検知されると、GuardDuty がコンソールと Amazon EventBridge に詳細なセキュリティ結果を生成します。これは、アラートをすぐに利用できるようにするとともに、アラートの既存イベント管理およびワークフローシステムへの統合、またはアラートによる AWS Lambda を使用した自動化された是正アクションのトリガーを容易にします。オプションとして、複数のリージョンからの結果を集約する、およびサードパーティーのセキュリティ分析ツールと統合するために、結果を S3 バケットに送信することもできます。

まだ GuardDuty をお使いではない場合は、サービスを有効にするときに S3 保護がデフォルトでオンになります。GuardDuty をお使いの場合は、GuardDuty コンソールで 1 回クリックする、または API を使用するだけでこの新機能を有効にできます。GuardDuty は、簡素化およびコスト最適化のために S3 に直接統合されました。こうすることで、この新しい機能を活用するために AWS CloudTrail で S3 データイベントのロギングを手動で有効化、または設定する必要がなくなります。GuardDuty は、脅威検知を生成するために使用できるデータイベントのみをインテリジェントに処理するため、処理するイベントの数を大幅に削減して、コストを低減します。

ユーザーが組織全体で GuardDuty を管理する一元化されたセキュリティチームの一員であるならば、AWS Organizations との統合を使用して、単一のアカウントからすべてのアカウントを管理できます。

AWS アカウントのための S3 保護の有効化
私は、このリージョンの AWS アカウントですでに GuardDuty を有効化しているので、これから S3 バケットに脅威検知を追加したいと思います。GuardDuty コンソールで、[S3 Protection] (S3 保護)、[Enable] (有効化) と選択します。それだけです。保護を強化するため、アカウント内で有効化されている全リージョンのためにこのプロセスを繰り返します。

数分後、S3 バケットに関する新たな結果が表示され始めます。各結果を選択して、ソースアクターとターゲットアクションの詳細情報を含めた脅威の可能性に関するより多くの情報を入手できます。

数日たったら、コンソールの [Usage](使用状況) セクションを選択して、新しい S3 保護を含めたアカウントにおける GuardDuty の月額コストの見積りを監視します。また、どの S3 バケットにより多くのコストがかかっているかを見つけることもできます。私のバケットでの最近のトラフィックはそれほど多くなかったようです。

AWS Organization のための S3 保護の有効化
複数アカウントの管理を簡素化するため、GuardDuty は AWS Organizations との統合を使って、ひとつのアカウントを組織全体の GuardDuty の管理者として指定することを可能にします。

これで、委任された管理者が 1 回クリックするだけで、リージョン内の組織にあるすべてのアカウントに GuardDuty を有効化できるようになります。また、[Auto-enable](自動有効化) を [On](オン) に設定して、組織の新規アカウントを自動的に包含することもできます。ご希望に応じて、アカウントは招待制で追加することもできます。その後、[Settings](設定) にある [S3 Protection](S3 保護) ページに移動して、組織全体に S3 保護を有効化できます。

[Auto-enable](自動有効化) を選択する場合、委任された管理者は、新しいメンバーアカウントに対して S3 保護を自動で有効化することも選択できます。

今すぐご利用いただけます
いつものように、Amazon GuardDuty では、脅威を検知するために処理されたログとイベントの数に対する料金のみを支払います。これには、CloudTrail でキャプチャされた API コントロールプレーンイベント、VPC フローログでキャプチャされたネットワークフロー、DNS リクエストとレスポンスのログなどがあり、S3 保護が有効化されている場合は S3 データプレーンイベントも含まれます。これらのソースは、サービスを有効化するときの内部統合を通じて GuardDuty によって取り込まれるので、いずれも直接設定する必要はありません。GuardDuty は、コストを削減するために処理するログとイベントを継続的に最適化し、コンソールにソース別の使用状況を表示します。複数のアカウントで設定されている場合は、アカウント別の使用状況も表示されます。

新しい S3 脅威検知機能には 30 日間の無料トライアルをご利用いただけます。これは、すでに GuardDuty 有効化しており、新しい S3 保護機能を追加するアカウントにも適用されます。無料トライアルの期間中、S3 データイベントの量に基づいた推定コストが GuardDuty コンソールの [Usage](使用状況) タブで計算されます。このため、これらの新しい機能を無料で評価する間に、毎月の支出がどうなるかを把握することができます。

S3 保護のための GuardDuty は、GuardDuty が提供されているすべてのリージョンでご利用いただけます。利用可能なリージョンについては、AWS リージョン表を参照してください。詳細については、こちらのドキュメントをご覧ください。

— Danilo